Recevez chaque jour toute l'actualité du numérique

x

[Etude] En 2020, le business model des ransomwares a changé

Étude Aujourd'hui, le recours aux ransomwares est devenu un business lucratif pour les hackers. Ciblant principalement par le passé les petites structures, ils s'attaquent désormais à des grandes entreprises en leur réclamant des dizaines de millions d'euros, alerte un rapport d'Orange Cyberdéfense. En plus de monétiser la disponibilité de la donnée, ils monnaient leur confidentialité en menaçant de dévoiler ces informations.
Twitter Facebook Linkedin Flipboard Email
×

[Etude] En 2020, le business model des ransomwares a changé
[Etude] En 2020, le business model des ransomwares a changé © Orange Cyberdéfense

Comme chaque année, Orange Cyberdéfense publie un rapport sur l'état de la cybersécurité ce 10 décembre. Les données compilées dans le "Security Navigator" reposent sur les événements analysés par les 27 Security Operations Center (SOC) mondiaux de la filiale de l'opérateur, des laboratoires de recherches internes ainsi que des rapports d'experts et des études de référence sur le sujet.

Les ransomwares explosent
Le constat d'Orange Cyberdéfense est le suivant : l'année 2020 n'a pas vu une explosion majeure des cyberattaque, à l'exception des attaques par ransomware qui ont changé de modèle économique.

"Les ransomwares sont le phénomène majeur de cette année", raconte Laurent Célérier, vice-président exécutif "technologie & marketing" au sein d'Orange Cyberdéfense, à L'Usine Digitale. Et les exemples ne manquent pas : le CHU de Rouen, Sopra Steria, Mr Bricolage, les mairies de Vincennes et d'Alfortville…

A l'inverse, en 2019, Orange Cyberdéfense avait enregistré peu d'incidents liés aux rançongiciels chez ses 4000 clients. Cependant, contrairement à ce que l'on pourrait penser, le nombre d'attaques n'a pas explosé en quelques mois. Tout simplement, ces incidents ne peuvent être décelés qu'à partir du moment où les hackers passent à la dernière étape de la stratégie d'infection, c'est-à-dire le chiffrement des données. 

Au-delà de leur accroissement, les rançongiciels ont changé de business model durant l'année 2020, s'inquiète le rapport. Les techniques utilisées ne sont pas nouvelles, mais leur automatisation et leur orchestration plus aboutie ont conduit à des vitesses d’exécution impressionnantes, poursuit Orange Cyberdéfense.

La tendance de la double extorsion
"Auparavant, ces attaques ciblaient des particuliers et des petites structures pour leur extorquer des fonds après avoir chiffré les données de leur système IT, détaille Laurent Célérier. C'était une logique de marché de masse." Souvent mal protégés, ces plus petits acteurs payaient le montant demandé.

Désormais, les hackers attaquent des entreprises de plus grande envergure avec l'apparition de la tendance de "la double extorsion", c'est-à-dire qu'ils proposent les clés de déchiffrement si la rançon est réglée mais menacent également de dévoiler publiquement les informations dérobées. Un ultimatum redoutable lorsqu'il s'agit de données sensibles.

Les montants exigés par les criminels ont également changé et atteignent parfois des dizaines de millions d'euros, comme ça a été le cas cette semaine pour Foxconn. Le rapport ajoute que le développement des cryptomonnaies, facilitant les transactions qui ne peuvent être facilement retracées jusqu'aux attaquants, a permis le développement rapide de ces attaques.

Une myriade d'acteurs
Le rançongiciel MAZE, anciennement connu sous le nom de "ChaCha", représente la majorité des attaques. Dans le détail, 36,3 % des fuites publiées sur le Dark Web sont attribuées à ce malware. REvil, Conti (Ryuk), DoppelPaymer et NetWalker sont également des acteurs majeurs des menaces.

Ryuk a été à l'origine de l'attaque contre le spécialiste de la transformation digitale Sopra Steria. D'après le FBI, ce malware est le plus rentable pour les cybercriminels. Il a généré à lui tout seul 61 millions de dollars (environ 50 millions d'euros) entre février 2018 et octobre 2019.
 


Orange Cyberdéfense n'est pas très optimiste pour la suite. "L'écosystème des ransomwares (…) poursuivra inexorablement sa progression jusqu'à ce que lesdits leviers soient affectés d'une façon ou d'une autre", indique le rapport. Parmi ces leviers, on trouve une demande insatiable et des échanges monétaires fluides grâce aux cryptomonnaies.

Ce qui fait dire à Orange Cyberdéfense que les ransomwares doivent être contrés en tant que business, ce qu’ils sont désormais, et non en tant que technologies.

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.